检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
访问JWT工具网站,选择“Algorithm”为“RS512”,获取公钥(PUBLIC KEY)。 图1 生成公钥 在JWK to PEM Convertor online工具中选中“PEM-to-JWK (RSA Only)”,输入上一步获取的公钥,单击“submit”,将公钥转换为JWK。
在Istio使用中,JWT令牌生成由特定的认证服务提供,令牌验证由网格执行,彻底解耦用户业务中的认证逻辑,使应用程序专注于自身业务。基于Istio的JWT完整机制如图1所示。 图1 Istio JWT认证流程 ① 客户端连接认证服务,提供用户名和密码; ② 认证服务验证用户名和密码,生成JWT令牌,
端到端的透明安全 适用场景 众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为
ERMISSIVE)的对端认证策略。 严格模式(STRICT) 流量只能通过隧道进行传输,因为请求必须是TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web Token)请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access
-o yaml |grep "root-cert.pem" | head -1 | cut -d ":" -f 2 | sed s/[[:space:]]//g | base64 -d > ${VM1_DIR}/root-cert.pem 设置启动参数 在kubectl节点执行以下命
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
Pair-xxxx_asm。 图1 创建密钥对 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡
Pair-xxxx_asm。 图1 创建密钥对 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡
欠费说明 您在使用云服务时,系统会在订单的结算周期结束后生成账单并执行扣款。如果结算时账户余额不足,您的账户将进入欠费状态。欠费后,可能会影响云服务资源的正常运行,请及时充值。 欠费影响 包年/包月 对于包年/包月资源,用户已经预先支付了资源费用,因此在账户出现欠费的情况下,已有
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
构成,且reviews服务具有多个版本。这四个服务的说明如下: productpage:会调用details和reviews两个服务,用来生成页面。 details:包含了书籍的信息。 reviews:包含了书籍相关的评论,同时会调用ratings服务。 ratings:包含了由书籍评价组成的评级信息。
开放在负载均衡服务地址的端口,可任意指定。 转发策略配置 域名 请填写组件对外发布域名。不配置访问地址默认为负载均衡实例IP地址。如果您开启了TLS认证,则必须填写证书内认证域名,以完成SNI域名校验。 URL匹配规则 前缀匹配:例如映射URL为/healthz,只要符合此前缀的URL均可访问。例如/he
网格技术的一项重要能力就是以应用非侵入的方式提供这些监控数据的采集,用户只需关注自己的业务开发,无需额外关注监控数据的生成。 丰富APM能力:ASM基于网格生成服务访问数据,集成各种不同的APM服务,提供跨集群智能的服务运行管理。包括跨集群的服务调用链、服务访问拓扑和服务运行健康
导致业务容器挂载文件属组被改成1337。 原因分析 因为k8s 版本bug: https://github.com/kubernetes/kubernetes/issues/57923 https://github.com/istio/istio/pull/27367 在1.8
使用ingress中转方案 前提 确保准备工作已完成。 网格仅使用了网关能力。 已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get
有力支撑。 提高控制面Istiod稳定性 Istio采用的是全局更新配置信息策略,如下图所示,当服务B的相关信息发生变化时,Istiod会生成全量xds并推送给网格内所有Proxy,这会导致Istiod的瞬时CPU、内存占用过高,可能导致Istiod重启。 Mantis根据服务依
定、业务代码无侵入 √ √ √ 应用网关 支持四层协议对外访问、支持七层协议对外访问、支持入口路径映射、支持网关处TLS终止,支持配置对外证书和密钥 √ √ √ 负载均衡 支持轮询、随机、最小连接数以及一致性哈希的LB算法,可以基于特定的HTTP Header,或者基于Cookie值
定、业务代码无侵入 √ √ √ 应用网关 支持四层协议对外访问、支持七层协议对外访问、支持入口路径映射、支持网关处TLS终止,支持配置对外证书和密钥 √ √ √ 负载均衡 支持轮询、随机、最小连接数以及一致性哈希的LB算法,可以基于特定的HTTP Header,或者基于Cookie值
其中{revision} 为版本号,如1-13-9-r5),并重启部分pod进行测试,若无问题,则可以全部切换。 1.3和1.6版本升级到1.8版本,因为证书切换,sidecar需要同时全部重启。 数据面升级结束后,请等待所有升级中的工作负载滚动升级完成。 父主题: 金丝雀升级
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
